NORMA ISO/IEC 27001
GENERALIDADES Y CAMBIOS
2005 A 2013
JAIME ANDRÉS BELLO VIEDA
 ABRIL 2015

Algunos conceptos
 ISO/IEC 27001:2013 es un estándar internacional
publicado el 25 de septiembre de 2013. Es la
evolución de su homologa liberada en 2005.
 ISO/IEC: ISO (Organización Internacional de
Estándares), IEC (Comisión Internacional de
Electrotecnia).
 Icontec tomó el estándar y lo publicó el 11 de
diciembre de 2013 como Norma técnica
Colombiana NTC-ISO-IEC 27001 cuyo nombre
completo es Tecnología de la información.
Técnicas de Seguridad. Sistemas de Gestión de
Seguridad de la Información. Requisitos.

La ISO y sus principios de
gestión
 Es una federación mundial de organismos nacionales de
normalización alrededor de 160 países, trabajan a nivel
de Comités Técnicos, tienen al menos 19,000 estándares
publicados desde 1947 (creación). Trabaja en función a
8 principios de gestión:
 1. Orientación al cliente.
 2. Liderazgo.
 3. Participación del personal.
 4. Enfoque de procesos.
 5. Enfoque de sistemas de gestión.
 6. Mejora Continua.
 7. Enfoque de mejora continua.
 8. Relación mutuamente beneficiosa con el proveedor.

¿Qué es un SGSI?
Sistema de Gestión de Seguridad de la Información
 Es el diseño, implantación y mantenimiento de un conjunto de procesos
que gestionan y brindan protección a los elementos que garantizan la
confidencialidad, integridad y disponibilidad de la información.
 La salvaguarda de la información es responsabilidad de la cadena que
forman los procesos, la tecnología y las personas en una organización.
Procesos
PersonasTecnología
La seguridad no es un producto, es un proceso.
La seguridad de la información es un asunto de personas, procesos y tecnología.
Bruce Schneier

La familia ISO 27000
Los estándares ISO más destacados relacionados a seguridad
de la información son:
• ISO/IEC 27000:2009 — Overview and vocabulary.
• ISO/IEC 27001:2005 — Requirements. (Currently 2013 version).
• ISO/IEC 27002:2005 — Code of practice for information security
management (Currently 2013 version).
• ISO/IEC 27003:2010 — Information security management
system implementation guidance.
• ISO/IEC 27004:2009 — Information security management —
Measurement.
• ISO/IEC 27005:2011 — Information security risk management.
• ISO/IEC 27006:2011 — Requirements for bodies providing audit
and certification of information security management systems.
• ISO/IEC 27007:2011 — Guidelines for information security
management systems auditing..
• ISO/IEC TR 27008:2011 — Guidelines for auditors on information
security management systems controls.

Evolución del Modelo ISO
27001-2005/2013
ISO/IEC 27001:2005 ISO/IEC 27001:2013
NUMERO DE CONTROLES
133 114
94 Se Mantienen
39 Eliminados
20 Nuevos
DOMINIOS DE SEGURIDAD
11 14 3 DOMINIOS
NUEVOS
REQUISITOS DE GESTION
102 130 18 REQ-GEST
NUEVOS

Diferencias contenido
ISO 27001:2005 – ISO 27001:2013

1. Objeto y campo de
aplicación
 En la norma se especifican los requisitos
para establecer, implementar, mantener
y mejorar continuamente un SGSI.
 Incluye los requisitos para la valoración y
tratamiento de riesgos los cuales son
genéricos y aplicables a cualquier tipo
de organización.
 Para la empresa u organización que
declara conformidad con la norma, no
es aceptable excluir cualquiera de los
requisitos especificados en los numerales
4 a 10.

2. Referencias normativas
 Toma como única referencia normativa
la ISO/IEC 27000 (Generalidades y
vocabulario).
Todas las definiciones fueron
removidas.
Las definiciones se encuentran en el
Vocabulario de Terminos ISO/IEC
27000.
3. Términos y definiciones

CICLO PHVA ISO 27001:2013
El ciclo PHVA significa actuar sobre
el proceso, resolviendo
continuamente las desviaciones a
los resultados esperados. El
Mantenimiento y la mejora
continua de la capacidad del
proceso pueden lograrse
aplicando este ciclo en cualquier
nivel de la organización y en
cualquier tipo de proceso, ya que
se encuentra asociado con la
planificación, implementación,
control y mejora del desempeño
de los procesos.
• Planear: establecer los objetivos
para obtener resultados.
• Hacer: implementar procesos
para alcanzar resultados.
• Verificar: realizar seguimiento y
medir los procesos.
• Actuar: realizar acciones para
promover la mejora del
desempeño.
CONTEXTO DE LA
ORGANIZACIÓN
LIDERAZGO
PLANIFICACIÓN
SOPORTE
OPERACIÓN
HACER
EVALUACIÓN DE DESEMPEÑO VERIFICAR
MEJORA ACTUAR
P
L
A
N
E
A
C
I
Ó
N

4.CONTEXTODELAORGANIZACION
4.1CONOCIMIENTO DE LA ORGANIZACIÓN
Y SU CONTEXTO
4.2 COMPRENSIÓN DE LAS NESECIDADES Y
EXPECTATIVAS DE LAS PARTES INTEREZADAS
4.3 DETERMINACIÓN DEL ALCANCE SGSI
4.4 SISTEMA DE GESTIÓN SEGURIDAD DE
LA INFORMACIÓN
Determinar cuestiones internas y
externas que afectan al SGSI
(ISO 31000 5,3)
Partes interesadas en el SGSI
Requisitos de las partes
(Legales, normas internas,
contractuales.
Establecer los límites y aplicabilidad
del SGSI para tener un alcance.
Tener en cuenta 4,1, 4,2
Comunicación y dependencia de
las actividades que realiza la
organización y otras.
El alcance debe estar disponible como información
documentada.
Establecer, implementar,
mantener y mejorar el SGSI
con los requisitos de ISO
27001.
PLANEACIÓN - ISO 27001:2013

PLANEACIÓN - ISO 27001:20135.LIDERAZGO
5.1 LIDERAZGO Y COMPROMISO
5.2 POLÍTICA
5.3 ROLES, RESPONSABILIDADES Y
AUTORIDADES EN LA ORGANIZACIÓN
Compromiso de la alta dirección:
- Establecer política (alineada obj. Estratégicos.
- Asegurar la integración del SGSI con los procesos de la
organización
- Recursos disponibles.
- Comunicación
- Apoyo a la mejora continua.
Alta dirección debe asegurarse que las responsabilidades para los roles
pertinentes en SI se asignen y comuniquen.
Deben asignarse responsables que:
- Garanticen que el SGSI está acorde a los requisitos de la norma.
- Retroalimenten a la alta dirección del desempeño del SGSI.

PLANEACIÓN - ISO 27001:2013
6.PLANIFICACION 6.1 ACCIONES PARA TRATAR RIESGO Y
OPORTUNIDADES
6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y
PLANES PARA LOGRARLOS
6.1.2 VALORACIÓN
RIESGO
6.1.3TRATAMIENTO DEL
RIESGO
6.1.1GENERALIDAES
Objetivos deben ser:
Coherentes con la política de SI.
Ser medibles (si es posible).
Ser comunicados
Ser actualizados
Qué se va a hacer
Responsables
Recursos
Cómo se finalizará y evaluarán
resultados

PLANEACIÓN - ISO 27001:20137.SOPORTE
7.1 RECURSOS
7.2 COMPETENCIA
7.3 TOMA DE CONCIENCIA
7.4 COMUNICACIÓN
7.5 INFORMACIÓN DOCUMENTADA
La organización debe
garantizar que se encuentren
disponibles para el SGSI
Se debe garantizar que los
responsables y lideres de SI
sean personas capaces,
competentes e idóneas en
los roles asignados.
Las personas que realizan el
control de la organización
deben analizar su
contribución a la eficacia
del SGSI
Estrategia de comunicación a
nivel interno como externo.
Información requerida por
el estándar
La adicional que se
determine necesaria para
el SGSI.

HACER -ISO 27001:2013
8.OPERACION
8.1 PLANIFICACIÓN Y CONTROL
OPERACIONAL
8.2 VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA
INFORMACIÓN
8.3 TRATAMIENTO DEL RIESGO DE
SEGURIDAD DE LA INFORMACIÓN
Implementación de los procesos necesarios y de mejora
para asegurar con el cumplimiento de nuevos requisitos
regulatorios y demás que afecten al SGSI
Se debe establecer una periodicidad de evaluación
de riesgos. Debe conservar documentada las
valoraciones, las conclusiones y resultados.
Se debe implementar un plan de tratamiento
de riesgos. Debe conservar documentado
los resultados

VERIFICAR - ISO 27001:2013
9.EVALUACIÓNDELDESEMPEÑO
9.1 SEGUIMIENTO, MEDICION, ANALISIS Y
EVALUACIÓN
9.2 AUDITORÍA INTERNA
9.3 REVISIÓN POR LA DIRECCIÓN
Determinar:
Qué es necesario medir.
Métodos de medición, análisis y evaluación.
Periodicidad de las mediciones.
Quién debe medirlo
Quién debe analizar y evaluar los resultados.
Se deben realizar auditorías internas a intervalos planificados para
asegurar que el SGSI:
- Es conforme con los requisitos de la norma.
- Está implementado y mantenido eficazmente.
Los trabajos deben tener un alcance específico.
Deben informarse a la alta dirección.
Debe existir la documentación de las auditorías y los resultados.

ACTUAR - ISO 27001:2013
10MEJORA
10.1 NO CONFORMIDADES Y ACCIONES
CORRECTIVAS
10.2 MEJORA CONTINUA
Reacciones frente a No conformidades y acciones correctivas:
Acciones para controlarla y corregirla.
Evaluar las causas de la no conformidad a fin de eliminarla.
Realizar cambios al SGSI de ser necesario.
Se debe conservar la información de las no conformidades y
resultados de acciones correctivas.
Mejorar continuamente la
conveniencia, adecuación y eficacia
del SGSI.

Dominios ISO 27001:2013
(Controles Anexo A)
ISO/IEC
27001:2005
ISO/IEC
27001:2013
DOMINIOS DE SEGURIDAD
11 14 3 DOMINIOS
NUEVOS
2 Controles
4 Controles
6 Controles
10 Controles
14 Controles
2 Controles
15 Controles
14 Controles
7 Controles
13 Controles
5 Controles
7 Controles
8 Controles
7 Controles

Comparación dominios de la norma
(Anexo A) en versiones 2005 y 2013
Criptografía, se separó del dominio Adquisición,
desarrollo y mantenimiento de la información
El dominio Gestión de Comunicaciones y
Operaciones fue dividido para dar lugar a
Operaciones de Seguridad y Seguridad de las
comunicaciones.
En el dominio Organización de la seguridad de la
versión 2005 se ha incluido toda la relación , acceso y
tratamiento de la información con terceros en el
dominio Relaciones con proveedores.

Principales diferencias
Controles que ya no forman parte del estándar

ISO/IEC
27001:2005
ISO/IEC
27001:2013
DOMINIOS DE SEGURIDAD
133 114
94 Se Mantienen
39 Eliminados
20 Nuevos
Principales diferencias
Nuevos controles propuestos

Tiempo de transición
 De acuerdo con lo especificado por el
foro Internacional de Acreditación IAF,
todas las certificaciones vigentes bajo
ISO/IEC 27001:2005 deberán ser
actualizados con los nuevos requisitos
de la norma en máximo 2 años, que
finaliza el 21/10/2015.

Usos prácticos del estándar
 Tomar del Universo de elementos y revisar elementos
dependiendo del objetivo y alcance del trabajo… y el criterio
del auditor
http://www.zenshifu.com/iso27001-annex-a-controls/iso27001_annex_a_controls/

 Apoyarse con la visión de otros marcos de trabajo que
poseen elementos en común con el estándar de Seguridad
de la Información y los controles (ISO 27002).
Usos prácticos del estándar

Conclusiones
• La ISO 27001:2013 es un estándar internacional el cual
específica los requisitos necesarios para establecer, implantar,
mantener y mejorar el Sistema de Seguridad de la Información
SGSI de una organización.
• Permite la libre escogencia de una metodología de mejora
continúa sin exigirse el ciclo de Deming (PHVA).
• El Anexo A incluye información relevante sobre lo que no debe
olvidarse para gestionar la seguridad de la información,
conocer y entender las mejores prácticas. Este apartado se
desarrolla en él código de prácticas para la gestión de la
Seguridad de la Información (ISO 27002).
• La nueva estructura del Anexo, agrega 3 dominios de
control, y pasa de 133 controles en versión 2005, a 114 en 2013.
• Dentro de los nuevos dominios de control
aparece Criptografía, Relación con proveedores; el tercero es
resultado de la división del dominio Gestión de
comunicaciones y operaciones en dos nuevos
dominios: Operaciones de seguridad y Seguridad de las
comunicaciones.

GRACIAS
POR SU ATENCIÓN